なぜAWSに侵入検出システムが必要なのか?

私たちが日常使っているインターネットは、有益でタイムリーな情報が提供される一方で、インターネット環境のほころびを悪用される危険性をはらんでいます。

Amazonの代表的クラウドサービスAWS（Amazon Web Service）では、複数のサーバーやシステムがVPCによって有機的に絡み合っているため、外部からの脅威にさらされる機会が増えてきています。

AWSでは、こうした脅威に対抗する侵入検知システムAmazon GuardDutyを備えており、日々集めるイベントログを分析してアラートを出すことにより、円滑にさまざまなアクションをとることができます。

これから、AWS上での侵入検出サービスAmazon GuardDutyがなぜ必要なのかについてお話ししていきます。

AWSなどのクラウドに必要な侵入検出システムとは?

建物の出入口に鍵をかけたり、不審者が侵入したときにアラームを鳴らすといった安全対策は普通に行われますが、私たちの重要インフラとなっているインターネットにも必要となっているものです。

侵入検知と呼ばれる機能は、インターネット環境のセキュリティを高めるために重要なものです。

ここから、外部の脅威からインターネット環境を守る方策の一つである、侵入検知システムについて見ていきましょう。

侵入検知システムとは?

外部のネットワークから流れてくるパケット（ネットワークで送信されるデータを分割する単位）を監視・識別することにより、外部からの不審なアクセスや操作として侵入検知するシステムをいい、IDS（Intrusion Detection System）とも呼ばれます。

なお、通信を遮断することによって、不正侵入を防止する機能を侵入防止システム（IPS：Intrusion Prevention System）といいます。 不正侵入が発見された場合には、アラートやメールなど、あらかじめ設定した方法で管理者に連絡されます。

リアルタイムにパケットを監視することによって、ポートスキャン（プロトコル毎に割り当てられるポートを攻撃するもの）、ブルートフォース（パスワードを五月雨式に探していく攻撃）やセキュリティホール（情報セキュリティのほころび）に対する攻撃などを検知します。

AWSの侵入検知システム　Amazon GuardDutyとは?

複数のサーバーやシステムがVPCによって繋がっているAWSでは、不正侵入の入口が多く存在します。

AWS上のセキュリティを高めるため、不正侵入を検出するシステムが、AWSの侵入検知システムAmazon GuardDutyです。

ここからは、Amazon GuardDutyの概要、メリットと仕組みについてお話ししていきます。

Amazon GuardDutyの概要

Amazon GuardDutyは、AWS VPCに対する悪意ある動作を継続して監視・分析する侵入検知サービスです。

AWSにアクセスしているアカウント、オペレーションに割り当てられているシステム負荷量やS3に保管されるデータを保護するために、マネジメントコンソールから有効化できます。

クラウドの特性として、セキュリティを高めるためにイベントログを継続的に分析するには、膨大な時間を要する場合があります。

Amazon GuardDutyでは、AWS CloudTrail、DNSなどから集めた膨大なイベントログを、あらかじめ決められた脅威クライテリアを元に、AWSデータソース上にある潜在的脅威を掘り起こします。

さらに、リスクレベルによる優先順位に従って、GuardDutyアラートとして発出された潜在的脅威は、AWS Lambdaへのトリガーを経て、あらかじめ自動化された対応がアウトプットされます。

Amazon GuardDutyのメリットは?

Amazon GuardDutyは、改めてシステムをデプロイしたり維持管理する必要がないため、ユーザーは日々の開発業務に集中することができます。

Amazon GuardDutyには、大きく3つの機能的なメリットがあります。

・AWSの動作、アクセスおよびアカウントから脅威を特定できます。
・GuardDutyアラートに自動的に対応できます。
・複数のアカウントに対して一括したサポートができます。

それぞれ詳しく見ていきましょう。

AWSの動作、アクセスおよびアカウントから脅威を特定できます

Amazon GuardDutyは、ネットワークの動作状況、データへのアクセスパターンおよびアカウントの侵害を継続的に監視・分析することによって、ネットワークに侵入しようとする脅威を特定します。

ネットワークの動作状況により、インスタンスの侵害を検出します。インスタンスの侵害の例として、暗号通貨マイニングを悪用したマルウェア、異常に多いネットワーク通信量、一時的な外部IPアドレスからのAmazon EC2使用証跡、異常なプロトコルなど、多く挙げられます。

データのアクセスパターンとして、主にAWS CloudTrailのS3データイベントを継続的に監視・分析することで、不正侵入などAmazon S3バケット周りの脅威を検出します。

アカウントの侵害としては、過去に侵害履歴のあるIPからのアクセス、認証情報の侵害などから検出されます。

GuardDutyアラートに自動的に対応できます

セキュリティを検出した結果は、GuardDutyアラートとして発出され、AWS Lambda にトリガーすることにより、あらかじめ自動化された対応ができます。

この自動化された対応をサポートするために、HTTPS API、CLI ツールおよびAmazon CloudWatch Eventsが準備されています。

また、検出結果には、どのリソースに影響が出たのか、不正を行ったのは誰かを特定するIP アドレスや地理的な場所などの情報が記載されているため、すばやく脅威の源を突き止めることができます。

複数のアカウントに対して一括したサポートができます

AWS Organizationsを使って、新規・既存の枠を越えて、すべてのアカウントに対してサポートすることができます。

AWSの中で動いているすべてのアカウントについての分析結果を、一つの管理者アカウントに集めることができるとともに、Amazon CloudWatch Eventsからの結果も統合することができます。

Amazon GuardDutyの仕組みとは?

Amazon GuardDutyは、AWS上で動いている複数のサービスにアクセスしているすべてのアカウント、動作状況やS3に保管されているデータを保護するため、継続的にAWS内を監視する侵入検知サービスです。

追加のソフトウェアをデプロイすることなく、マネジメントコンソールから簡易に導入できます。

すべてのアカウントについて継続的に監視・分析される情報は、AWS CloudTrailのマネジメントイベント、S3データへのアクセス、およびVPCとDNSのログから集められます。

これらの情報から、機械学習や脅威クライテリアによって、脅威内容を検証することにより、リスク対応の優先順位の高いものから、AWS Lambdaにトリガーしたり、あらかじめ決められた対応ワークフローに従って、自動化された対応を施します。

AWSの侵入検知システムAmazon GuardDutyがネットワークを守ってくれます!

私たちの重要なインフラとなったインターネットには、外部からの不正なアクセスによる危険に常にさらされています。

AWSでは、幅広く様々なサービスが展開されており、セキュリティを高める方策としての侵入検知機能が不可欠なものです。

Amazon GuardDutyは、AWSの侵入検知システムであり、AWSにアクセスしているすべてのアカウント、AWSの動作状況およびS3に保存されているデータを守ってくれています。

Amazon GuardDutyは、AWSを守ってくれる強い味方となっています。